Bonjour,
 
Je souhaite transferer une requete sql d'une page a une autre. Pour cela je contruit la requete sql dans la page toto.php et je la passe a toto1.php grâce à un IMPUT TYPE HIDDEN ... le seul pb c qu'il me coupe la requete des la 1ere cote.
Par exemple si $sql contient "SELECT * FROM titi WHERE id IN ('1','6','15'" (dans toto.php) je recevrai dans toto1.php "SELECT * FROM titi WHERE id IN ('" ... la chaine est coupé .... alors la question est : comment faire pour passer entierement cette chaine.
Merci d'avance

en passant la fonction $sql=htmlentities($sql) avant d'envoyer ton form ??
 
edit ou ptet avec addslashes..

[jfdsdjhfuetppo]--Message édité par kayasax le 30-05-2002 à 12:15:07--[/jfdsdjhfuetppo]

Marche po ... que ce soit addslahes ou htmlentities

G trouvé grace à l'aide de qcn sur un autre forum ... c rawurlencode et rawurldecode qu'il fo utiliser

ok, je conaissais aps !

vive la securite

La meilleure solution est d'en trouver une autre, tu cours droit à la catastrophe là.

arf , genre le smiley avec des lunettes de soleil . Quand je disais que t etais qu un proxenete

C'est pour exprimer ma joie face à ce soleil enfin revenu

Comme quoi personne ne bosse dans cette boite

si si, mais je suis à côté d'une fenêtre et j'ai le soleil dans les yeux.
 
Pour le problème du gars là, on lui dit qu'il risque de se faire pirater/détruire/violer sa base 2 temps - 3 mouvements ?

Ouais ca peut lui etre utilise , mais faudrait que tu lui expliques pourquoi . Ca me parait trop evident pour l expliquer clairement

On peut par exemple lui dire que si il passe un "select * from toto" dans sa variable et qu'un esprit mal intentionné remplace ça par "delete from toto", et bien, coment on dit déjà ?... ah oui, il est mal.
 
Ca te parait bon ?

ben c'est bien pour ca qu'il envoie le form en post et pas en get nan? (pour pas voir le nom et valeurs des var. )

Mais oui bien sûr. C'est vachement plus secure comme ça. Il peut aussi rajouter un commentaire dans le code ne demandant aux gens de ne pas faire de bêtises avec sa base, comme ça ça sera bien blindé et il risque rien.
 
Ou plus sérieusement, il trouve une autre solution parce que faire passer une requête sql en clair (par GET ou POST ça change rien) c'est du suicide.

 
CF "Vue du code source"

 
Sauf si il fait une verification de la methode et du referrer mais ca reste con quand meme

haaaaaaaaa...!! ok ok

[jfdsdjhfuetppo]--Message édité par kayasax le 30-05-2002 à 15:10:27--[/jfdsdjhfuetppo]

Rien n'empêcherait quelqu'un de mal intentioné de sauvegarder ta page HTML et de modifier ensuite les INPUT HIDDEN, et de poster le nouveau contenu...

Ah ! Je vois que tu as compris

euh ... uen requête HTTP c'est 3 fois rien à créer, alors vérifier la méthode et le referer pour se croire à l'abri, c'est stupide.

ouais enfin il avait peut etre un cas tordu

Je pensais faire cela car dans la page toto.php je construit la requete en fonction d'un formulaire d'une page précédente ... cette construction etant assez longue en ligne ca m'evitait tout simplement de faire un gros couper-coller de bourrin.
De plus ma base sert juste a la consultation ... cad que je me loggue avec un compte qui a un droit que de consultation ... donc impossible d'effacer des tables.
Mais merci pour vos commentaires ...

Bah, tu as le choix, les variables de ta précédente page tu peux les stocker individuellement dans des input hidden ou alors tu peux utiliser les sessions et les placer provisoirement dans le fichier de session sur le serveur.

[jfdsdjhfuetppo]--Message édité par gm_superstar le 30-05-2002 à 17:33:01--[/jfdsdjhfuetppo]